访问您的域控制器并打开 Certification Authority（证书颁发机构）。
复制 Enrollment Agent（注册代理）模板。详细步骤如下：
1. 右键单击 Certificate Templates（证书模板），然后选择 Manage（管理）。
2. 右键单击 Enrollment Agent（注册代理），然后选择 Duplicate Template（复制模板）。
3. 在 Subject Name（使用者名称）选项卡上，确保未选中 Include e-mail in subject name（在使用者名称中包含电子邮件）。
4. 在 Cryptography（加密）选项卡上，选择 Microsoft Base Smart Card Crypto Provider（Microsoft 基本智能卡加密服务提供程序），然后单击 OK（确定）。Certificate Templates（证书模板）列表中将显示一个名为 Copy of Enrollment Agent（注册代理副本）的模板。
为智能卡颁发证书。详细步骤如下：
1. 右键单击 Certificate Templates（证书模板），然后选择 New > Template to Issue（新建 > 要颁发的模板）。
2. 选择 Copy of Enrollment Agent（注册代理副本）和 Smartcard User（智能卡用户）。
3. 单击 OK（确定）。

步骤 3：为智能卡用户注册证书

注意：

以下步骤仅作为示例，指导您完成此过程。

在已加入域的物理 Windows 计算机上，按照以下步骤为每张智能卡注册证书：

准备一台已加入域的物理 Windows 计算机以供注册使用：
1. 确保已安装智能卡驱动程序。
2. 将智能卡插入计算机。
3. 使用您要分配给智能卡的用户帐户登录计算机。
将 Certificates（证书）管理单元添加到您在步骤 1 中准备的计算机上。详细步骤如下：
1. 打开 mmc。
2. 单击 File（文件），然后单击 Add/Remove Snap-in（添加/删除管理单元）。
3. 在出现的 Add or Remove Snap-ins（添加或删除管理单元）窗口中，选择 Certificates（证书），然后单击 Add >（添加 >）。
4. 在出现的对话框中，选择 My user account（我的用户帐户），然后单击 Finish（完成）。
5. 单击 OK（确定）。
为 Certificates（证书）管理单元请求新证书。详细步骤如下：
1. 转到 Certificates - Current User > Personal（证书 - 当前用户 > 个人），右键单击 Certificates（证书），然后选择 All Tasks > Request New Certificate（所有任务 > 请求新证书）。
2. 在出现的 Request Certificates（请求证书）对话框中，选择 Copy of Enrollment Agent（注册代理副本）和 Smartcard User（智能卡用户）。
3. 在上述对话框中，单击 Smartcard User（智能卡用户）的 Details（详细信息），然后单击 Properties（属性）。将出现 Certificate Properties（证书属性）对话框。
4. 在 Private Key（私钥）选项卡上，展开 Cryptographic Service Provider（加密服务提供程序），清除 Microsoft Strong Cryptographic Provider (Encrption)（Microsoft 强加密服务提供程序(加密)），仅选择 Microsoft Base Smart Card Crypto Provider (Encryption)（Microsoft 基本智能卡加密服务提供程序(加密)），然后单击 OK（确定）。
5. 单击 Enroll（注册）。
6. 在出现的 Windows Security（Windows 安全）对话框中，输入智能卡 PIN 码，然后单击 OK（确定）。注册完成后，单击 Finish（完成）。

成功注册后，Certificates - Current User -> Personal -> Certificates（证书 - 当前用户 -> 个人 -> 证书）下将显示两个证书，如以下屏幕截图所示。 manage certificate templates

步骤 4：配置 Web Studio IIS 服务器

在每台 Web Studio 服务器上，按照以下步骤配置 IIS 以进行智能卡身份验证：

为 Web Studio 计算机启用 Client Certificate Mapping Authentication（客户端证书映射身份验证）。

<clientCertificateMappingAuthentication> 元素在 IIS 7 及更高版本的默认安装中不可用。有关安装和启用的更多信息，请参阅此 Microsoft 文章。
在 Web Studio 计算机上启动 IIS Manager（IIS 管理器）。
为计算机启用 Active Directory Client Certificate Authentication（Active Directory 客户端证书身份验证）。详细步骤如下：
1. 在左侧窗格中选择计算机，然后双击 Authentication（身份验证）。
2. 启用 Active Directory Client Certificate Authentication（Active Directory 客户端证书身份验证）。
为 Web Studio 后端模块配置更安全的 HTTPS 协议和客户端证书身份验证：
1. 转到 Sites > 安装 Web Studio 的 IIS 站点名称（站点 ID = 1，默认情况下为 Default Web Site） > Studio > Backend > Smartcard，然后在 IIS 部分中双击 SSL Settings（SSL 设置）。
2. 为 Client certificates（客户端证书）选择 Require（要求）。
3. 返回到 Sites > 安装 Web Studio 的 IIS 站点名称（站点 ID = 1，默认情况下为 Default Web Site） > Studio > Backend > Smartcard，然后在 IIS 部分中双击 Configuration Editor（配置编辑器）。
4. 确保 /clientCertificateMappingAuthentication 已 enabled（启用）。
（仅限 Windows 2022）禁用通过 TCP 的 TLS 3.1。详细步骤如下：
1. 转到 Sites > 安装 Web Studio 的 IIS 站点名称（站点 ID = 1，默认情况下为 Default Web Site）。
2. 单击 Edit Site > Binding（编辑站点 > 绑定）。
3. 在出现的 Site Bindings（站点绑定）对话框中，选择 https 记录，然后单击 Edit（编辑）。
4. 在出现的 Edit Site Binding（编辑站点绑定）对话框中，选择 Disable TLS 1.3 over TCP（禁用通过 TCP 的 TLS 1.3），然后单击 OK（确定）。

须知：

Web Studio 后端是 Web Studio 中的一个模块，提供以下功能：

智能卡身份验证。
使用集成 Windows 身份验证从 Orchestration 服务检索 FMA 持有者令牌。

步骤 5（可选）：为 Web Studio 配置身份验证委派

当 Web Studio 和 Delivery Controllers 安装在不同的服务器上时，您必须为每个 Web Studio 服务器配置对 Delivery Controllers 的 HOST 和 HTTPS 服务的委派。

按照以下步骤为每个 Web Studio 服务器完成此任务：

导入 Delivery Controller™ Orchestration HTTPS 证书
为 Web Studio 服务器配置委派
（可选）为 Web Studio IIS 服务器的服务帐户配置委派

导入 Delivery Controller Orchestration HTTPS 证书

在 Web Studio 服务器上，将 Delivery Controller Orchestration HTTPS 证书导入到 Trusted Root Certification Authorities（受信任的根证书颁发机构）。详细步骤如下：

启动 Settings > Manage computer certificates（设置 > 管理计算机证书）。
右键单击 Trusted Root Certification Authorities > Certificates（受信任的根证书颁发机构 > 证书），然后选择 All Tasks > Import（所有任务 > 导入）。
按照屏幕上的说明导入 Delivery Controller Orchestration HTTPS 证书。

为 Web Studio 服务器配置委派

在域控制器上，为 Web Studio 服务器配置对 Delivery Controller 的 HOST 和 HTTP 服务的委派。按照以下步骤完成此任务：

在域控制器上，启动 Active Directory Administrative Center（Active Directory 管理中心）。
找到您要为其配置委派的 Web Studio 服务器的计算机帐户（例如，Dan002）。
右键单击该帐户，选择 Properties（属性），然后完成以下步骤：
1. 转到 Delegation（委派）选项卡。
2. 选择 Trust this user for delegation to specified services only > Use any authentication protocol（仅信任此用户委派给指定服务 > 使用任何身份验证协议）。
3. 单击 Add（添加）以指定此计算机帐户可以委派给哪些服务。
4. 在出现的 Add Service（添加服务）对话框中，单击 Add Users or Computers（添加用户或计算机）以找到 Delivery Controller 的计算机名称（例如，Dan001）。
5. 选择 HOST 和 HTTP 服务，然后单击 OK（确定）。

配置结果如以下屏幕截图所示。 manage certificate templates

（可选）为 Web Studio IIS 服务器的服务帐户配置委派

如果您已为 Web Studio IIS 服务器配置了服务帐户，则还需要为该服务帐户配置对 Delivery Controller 的 HOST 和 HTTP 服务的委派。建立此委派后，Web Studio 服务器可以使用其服务帐户模拟当前智能卡用户来访问 Delivery Controller 的 HOST 和 HTTP 服务。按照以下步骤完成配置：

在域控制器上，启动 Active Directory Administrative Center（Active Directory 管理中心）。
找到您要为其配置委派的 Web Studio IIS 服务器（服务帐户）的用户帐户（例如，svr-stud-002）。
右键单击该帐户并选择 Properties（属性）。
按照为 Web Studio 服务器配置委派中步骤 3 所述的步骤，将 Web Studio IIS 服务器的服务帐户委派给 Delivery Controller 的 HOST 和 HTTP 服务。

配置结果如以下屏幕截图所示。

manage certificate templates

步骤 6：为 Web Studio 启用智能卡身份验证

按照以下步骤为 Web Studio 启用智能卡身份验证：

登录 Web Studio 并在左侧窗格中选择 Settings（设置）。
根据需要选择 Smart card authentication（智能卡身份验证）或 Domain credentials or smart card authentication（域凭据或智能卡身份验证）。
单击 Apply（应用）。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

为 Web Studio 设置智能卡身份验证

March 18, 2026

投稿者:

March 18, 2026

投稿者:

这是否有帮助？